Serverstandort
Auch: Hosting-Standort CRM · Speicherort der Daten
Der Serverstandort gibt an, in welchem Land die Daten eines Maklerbüros (z. B. im CRM, E-Mail-Postfach oder Cloud-Speicher) physisch gespeichert werden. Er ist entscheidend dafür, ob ein sogenannter Drittlandtransfer vorliegt und welche zusätzlichen datenschutzrechtlichen Absicherungen erforderlich sind.
Ausführliche Erklärung
Solange Daten innerhalb der EU/des EWR verarbeitet werden, gilt einheitlich die DSGVO – ein Serverstandort in Deutschland, Irland oder den Niederlanden ist datenschutzrechtlich unproblematisch. Kritisch wird es, sobald Daten in ein Drittland außerhalb der EU/des EWR übermittelt werden, etwa weil:
- der genutzte CRM-Anbieter Server in den USA betreibt,
- Cloud-Dienste (E-Mail, Backup, Dokumentenspeicher) außerhalb der EU gehostet werden,
- Support- oder Wartungszugriffe aus Drittländern erfolgen (bereits ein Fernzugriff kann als Übermittlung gelten).
Für solche Drittlandtransfers verlangt die DSGVO (Art. 44 ff.) zusätzliche Absicherungen:
- Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO), z. B. das EU-US Data Privacy Framework für zertifizierte US-Unternehmen, das seit 2023 besteht, in seiner Wirksamkeit aber politisch und juristisch umstritten bleibt.
- Standardvertragsklauseln (SCC) nach Art. 46 DSGVO, ergänzt um ein Transfer Impact Assessment, wenn kein Angemessenheitsbeschluss vorliegt oder greift.
- Verschlüsselung und Pseudonymisierung, um das Zugriffsrisiko durch Behörden im Drittland zu reduzieren.
Für Maklerbüros bedeutet das in der Praxis: Vor Auswahl eines CRM-, E-Mail- oder Cloud-Anbieters sollte geprüft werden, wo dieser die Daten tatsächlich speichert (nicht nur, wo der Firmensitz ist – viele US-Anbieter betreiben auch EU-Rechenzentren, was den Transfer vermeiden kann). Diese Information gehört zudem in die Datenschutzerklärung der Maklerwebsite und in den Auftragsverarbeitungsvertrag mit dem Anbieter. Ein EU-Serverstandort mit vertraglich zugesicherter Datenverarbeitung ausschließlich innerhalb der EU ist datenschutzrechtlich regelmäßig die unkomplizierteste Lösung.
Beispiel aus der Praxis
Ein Maklerbüro nutzt ein CRM-System eines US-Anbieters. Bei der Prüfung stellt sich heraus, dass der Anbieter zwar ein deutsches Rechenzentrum anbietet, standardmäßig aber Server in den USA nutzt. Das Büro lässt sich vertraglich die Verarbeitung ausschließlich in der EU zusichern oder schließt zusätzlich Standardvertragsklauseln ab, um den Drittlandtransfer abzusichern.
Rechtsgrundlage
- Art. 44–49 DSGVO – Voraussetzungen für die Übermittlung personenbezogener Daten in Drittländer.
- Art. 45 DSGVO – Angemessenheitsbeschlüsse der EU-Kommission für bestimmte Länder/Zertifizierungsprogramme.
- Art. 46 DSGVO – geeignete Garantien, insbesondere Standardvertragsklauseln, bei fehlendem Angemessenheitsbeschluss.